Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS ParallelCluster
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud.
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für gelten AWS ParallelCluster, finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem jeweiligen AWS Dienst oder den Diensten, die Sie nutzen. Sie sind auch für mehrere andere damit verbundene Faktoren verantwortlich, darunter die Sensibilität Ihrer Daten, die Anforderungen Ihres Unternehmens und die geltenden Gesetze und Vorschriften.
In dieser Dokumentation wird beschrieben, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung anwenden sollten AWS ParallelCluster. In den folgenden Themen erfahren Sie, wie Sie die Konfiguration vornehmen AWS ParallelCluster , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Außerdem erfahren Sie, wie Sie Ihre Ressourcen auf eine AWS ParallelCluster Weise verwenden können, die Ihnen hilft, Ihre AWS Ressourcen zu überwachen und zu schützen.
**Topics**
+ [Sicherheitsinformationen für Dienste, die genutzt werden von AWS ParallelCluster](#security-seealso)
+ [Datenschutz in AWS ParallelCluster](data-protection.md)
+ [Identity and Access Management für AWS ParallelCluster](security-iam.md)
+ [Konformitätsvalidierung für AWS ParallelCluster](security-compliance-validation.md)
+ [Erzwingen einer Mindestversion von TLS 1.2](security-enforcing-tls.md)
+ [Konfiguration von Sicherheitsgruppen für eingeschränkte Umgebungen](security-groups-configuration.md)
## Sicherheitsinformationen für Dienste, die genutzt werden von AWS ParallelCluster
+ [Sicherheit in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html)
+ [Sicherheit in Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/security.html)
+ [Sicherheit in AWS Batch](https://docs.aws.amazon.com/batch/latest/userguide/security.html)
+ [Sicherheit in CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html)
+ [Sicherheit bei Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/security.html)
+ [Sicherheit in AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/security.html)
+ [Sicherheit in Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/security.html)
+ [Sicherheit in Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/security.html)
+ [Sicherheit in Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html)
+ [Sicherheit in Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/security-considerations.html)
+ [Sicherheit im Visier FSx von Lustre](https://docs.aws.amazon.com/fsx/latest/LustreGuide/security.html)
+ [Sicherheit in AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/security.html)
+ [Sicherheit in EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/image-builder-security.html)
+ [Sicherheit in AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-security.html)
+ [Sicherheit in Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/security.html)
+ [Sicherheit in Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-security.html)
+ [Sicherheit in Amazon SQS (für AWS ParallelCluster Version 2.x.)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-security.html)
+ [Sicherheit in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security.html)
+ [Sicherheit in Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)
# Datenschutz in AWS ParallelCluster
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der API oder auf andere AWS-Services Weise arbeiten oder diese verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Datenverschlüsselung
Ein wesentliches Merkmal eines sicheren Service ist, dass Informationen verschlüsselt werden, wenn sie nicht aktiv verwendet werden.
### Verschlüsselung im Ruhezustand
AWS ParallelCluster speichert selbst keine anderen Kundendaten als die Anmeldeinformationen, die es benötigt, um im Namen des Benutzers mit den AWS Diensten zu interagieren.
Daten auf den Knoten im Cluster können im Ruhezustand verschlüsselt werden.
Für Amazon EBS-Volumes wird die Verschlüsselung mithilfe der `KmsKeyId` Einstellungen[`EbsSettings`](SharedStorage-v3.md#SharedStorage-v3-EbsSettings)/`Encrypted`und[`EbsSettings`](SharedStorage-v3.md#SharedStorage-v3-EbsSettings)/im [`EbsSettings`](SharedStorage-v3.md#SharedStorage-v3-EbsSettings) Abschnitt konfiguriert. Weitere Informationen finden Sie unter [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) im Amazon EC2 EC2-Benutzerhandbuch.
Für Amazon EFS-Volumes wird die Verschlüsselung mithilfe der `KmsKeyId` Einstellungen [`EfsSettings`](SharedStorage-v3.md#SharedStorage-v3-EfsSettings)[`EfsSettings`](SharedStorage-v3.md#SharedStorage-v3-EfsSettings)/`Encrypted`und/im [`EfsSettings`](SharedStorage-v3.md#SharedStorage-v3-EfsSettings) Abschnitt konfiguriert. Weitere Informationen finden Sie unter [So funktioniert Verschlüsselung im Ruhezustand](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html#howencrypt) im *Amazon Elastic File System-Benutzerhandbuch.*
FSx Für Lustre-Dateisysteme wird die Verschlüsselung von Daten im Ruhezustand automatisch aktiviert, wenn ein FSx Amazon-Dateisystem erstellt wird. Weitere Informationen finden Sie unter [Verschlüsseln ruhender Daten im](https://docs.aws.amazon.com/fsx/latest/LustreGuide/encryption-at-rest.html) *Amazon FSx for Lustre-Benutzerhandbuch*.
Bei Instance-Typen mit NVMe Volumes werden die Daten auf NVMe Instance-Speicher-Volumes mit einer XTS-AES-256-Verschlüsselung verschlüsselt, die auf einem Hardwaremodul auf der Instance implementiert ist. Die Verschlüsselungsschlüssel werden mithilfe des Hardwaremoduls generiert und sind für jedes Instance-Speichergerät einzigartig. NVMe Alle Verschlüsselungsschlüssel werden zerstört, wenn die Instance angehalten oder beendet wird, und können nicht wiederhergestellt werden. Sie können diese Verschlüsselung nicht deaktivieren und keine eigenen Verschlüsselungsschlüssel bereitstellen. Weitere Informationen finden Sie unter [Verschlüsselung im Ruhezustand](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-rest) im *Amazon EC2 EC2-Benutzerhandbuch*.
Wenn Sie AWS ParallelCluster einen AWS Service aufrufen, der Kundendaten zur Speicherung auf Ihren lokalen Computer überträgt, finden Sie im Kapitel Sicherheit und Konformität im Benutzerhandbuch dieses Dienstes weitere Informationen darüber, wie diese Daten gespeichert, geschützt und verschlüsselt werden.
### Verschlüsselung während der Übertragung
Standardmäßig werden alle Daten, die von den laufenden Client-Computern AWS ParallelCluster und den AWS Dienstendpunkten übertragen werden, verschlüsselt, indem alles über eine HTTPS/TLS Verbindung gesendet wird. Der Datenverkehr zwischen den Knoten im Cluster kann je nach den ausgewählten Instanztypen automatisch verschlüsselt werden. Weitere Informationen finden Sie unter [Verschlüsselung bei der Übertragung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) im *Amazon EC2 EC2-Benutzerhandbuch*.
## Weitere Informationen finden Sie auch unter
+ [Datenschutz in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html)
+ [Datenschutz in EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/data-protection.html)
+ [Datenschutz in CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security-data-protection.html)
+ [Datenschutz in Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/efs-backup-solutions.html)
+ [Datenschutz in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/DataDurability.html)
+ [Datenschutz FSx für Lustre](https://docs.aws.amazon.com/fsx/latest/LustreGuide/data-protection.html)
# Identity and Access Management für AWS ParallelCluster
AWS ParallelCluster verwendet Rollen für den Zugriff auf Ihre AWS Ressourcen und deren Dienste. Die Instanz- und Benutzerrichtlinien, die zur Gewährung von Berechtigungen AWS ParallelCluster verwendet werden, sind unter dokumentiert[AWS Identity and Access Management Berechtigungen in AWS ParallelCluster](iam-roles-in-parallelcluster-v3.md).
Der einzige wesentliche Unterschied besteht darin, wie Sie sich bei der Verwendung eines Standard--Benutzers und Langzeit-Anmeldeinformationen authentifizieren. Ein Benutzer benötigt zwar ein Passwort, um auf die Konsole eines AWS Dienstes zuzugreifen, aber derselbe Benutzer benötigt ein Zugriffsschlüsselpaar, um dieselben Operationen mit AWS ParallelCluster. Alle anderen Kurzzeit-Anmeldeinformationen werden auf die gleiche Weise verwendet, wie sie mit der Konsole verwendet werden.
Die von verwendeten Anmeldeinformationen AWS ParallelCluster werden in Klartextdateien gespeichert und sind ***nicht*** verschlüsselt.
+ In der `$HOME/.aws/credentials` Datei werden langfristige Anmeldeinformationen gespeichert, die für den Zugriff auf Ihre AWS Ressourcen erforderlich sind. Diese beinhalten Ihre Zugriffsschlüssel-ID und Ihren geheimen Zugriffsschlüssel.
+ Kurzzeit-Anmeldeinformationen, wie z. B. für angenommene Rollen oder für AWS IAM Identity Center -Services, werden ebenfalls in den Ordnern `$HOME/.aws/cli/cache` bzw. `$HOME/.aws/sso/cache` gespeichert.
**Risikominderung**
+ Wir empfehlen dringend, die Dateisystemberechtigungen für den Ordner `$HOME/.aws` und seine untergeordneten Ordner und Dateien so zu konfigurieren, dass der Zugriff ausschließlich auf autorisierte Benutzer beschränkt wird.
+ Verwenden Sie möglichst Rollen mit temporären Anmeldeinformationen, um bei einer Gefährdung der Sicherheit von Anmeldeinformationen die Möglichkeit für Schäden zu reduzieren. Verwenden Sie Langzeit-Anmeldeinformationen nur zum Abfragen und Aktualisieren der Anmeldeinformationen von Kurzzeit-Rollen.
# Konformitätsvalidierung für AWS ParallelCluster
Externe Prüfer bewerten die Sicherheit und Konformität der AWS Dienste im Rahmen mehrerer AWS Compliance-Programme. Die Nutzung des AWS ParallelCluster Zugriffs auf einen Dienst hat keinen Einfluss auf die Konformität dieses Dienstes.
Eine Liste der AWS Services im Rahmen bestimmter Compliance-Programme finden Sie unter [AWS Services im Umfang nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) . Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern über den herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Herunterladen von Berichten in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS ParallelCluster hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS stellt die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung der Vorschriften unterstützen:
+ Schnellstartanleitungen zu [Sicherheit und Compliance Schnellstartanleitungen](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) zu — In diesen Bereitstellungshandbüchern werden architektonische Überlegungen erörtert und Schritte für die Implementierung von sicherheits- und Compliance-orientierten Basisumgebungen beschrieben. AWS
+ Whitepaper [Architecting for HIPAA Security and Compliance on Amazon Web Services — Dieses AWS Whitepaper](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) beschreibt, wie Unternehmen HIPAA-konforme Anwendungen erstellen können AWS .
+ [AWS Compliance-Ressourcen ](https://aws.amazon.com/compliance/resources/) — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ [Bewertung von Ressourcen anhand von Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config Developer Guide* — Der AWS Config Service bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus, sodass Sie überprüfen können AWS , ob Sie die Sicherheitsstandards und Best Practices der Branche einhalten.
# Erzwingen einer Mindestversion von TLS 1.2
Um die Sicherheit bei der Kommunikation mit AWS Diensten zu erhöhen, sollten Sie Ihr System so konfigurieren, AWS ParallelCluster dass es TLS 1.2 oder höher verwendet. Wenn Sie verwenden AWS ParallelCluster, wird Python verwendet, um die TLS-Version festzulegen.
Um sicherzustellen, dass keine TLS-Version vor TLS 1.2 AWS ParallelCluster verwendet wird, müssen Sie möglicherweise OpenSSL neu kompilieren, um dieses Minimum durchzusetzen, und dann Python neu kompilieren, um das neu erstellte OpenSSL zu verwenden.
## Ermitteln Ihrer derzeit unterstützten Protokolle
Erstellen Sie zunächst mit OpenSSL ein selbstsigniertes Zertifikat, das für den Testserver und das Python-SDK verwendet werden soll.
```
$ openssl req -subj '/CN=localhost' -x509 -newkey rsa:4096 -nodes -keyout key.pem -out cert.pem -days 365
```
Starten Sie dann einen Testserver mit OpenSSL.
```
$ openssl s_server -key key.pem -cert cert.pem -www
```
Erstellen Sie in einem neuen Terminalfenster eine virtuelle Umgebung und installieren Sie das Python-SDK.
```
$ python3 -m venv test-env
source test-env/bin/activate
pip install botocore
```
Erstellen Sie ein neues Python-Skript namens `check.py`, das die dem SDK zugrunde liegende HTTP-Bibliothek verwendet.
```
$ import urllib3
URL = 'https://localhost:4433/'
http = urllib3.PoolManager(
ca_certs='cert.pem',
cert_reqs='CERT_REQUIRED',
)
r = http.request('GET', URL)
print(r.data.decode('utf-8'))
```
Führen Sie Ihr neues Skript aus.
```
$ python check.py
```
Damit werden Details über die hergestellte Verbindung angezeigt. Suchen Sie in der Ausgabe nach „Protokoll:". Wenn die Ausgabe "TLSv1.2" oder höher ist, verwendet das SDK standardmäßig TLS v1.2 oder höher. Wenn es sich um eine frühere Version handelt, müssen Sie OpenSSL und Python neu kompilieren.
Auch wenn die Installation von Python auf TLS v1.2 oder höher voreingestellt ist, ist es jedoch weiterhin möglich, dass Python neu auf eine frühere Version als TLS v1.2 verhandelt, wenn der Server TLS v1.2 oder höher nicht unterstützt. Um zu überprüfen, ob Python nicht automatisch auf frühere Versionen neu verhandelt, starten Sie den Testserver erneut mit Folgendem.
```
$ openssl s_server -key key.pem -cert cert.pem -no_tls1_3 -no_tls1_2 -www
```
Wenn Sie eine frühere Version von OpenSSL verwenden, steht Ihnen die `-no_tls_3`-Flag möglicherweise nicht zur Verfügung. Wenn dies der Fall ist, entfernen Sie das Flag, da die von Ihnen verwendete Version von OpenSSL TLS v1.3 nicht unterstützt. Führen Sie dann das Python-Skript aus.
```
$ python check.py
```
Wenn die Installation von Python korrekterweise für Versionen vor TLS 1.2 nicht neu verhandelt, sollten Sie einen SSL-Fehler erhalten.
```
$ urllib3.exceptions.MaxRetryError: HTTPSConnectionPool(host='localhost', port=4433): Max retries exceeded with url: / (Caused by SSLError(SSLError(1, '[SSL: UNSUPPORTED_PROTOCOL] unsupported protocol (_ssl.c:1108)')))
```
Wenn Sie eine Verbindung herstellen können, müssen Sie OpenSSL und Python neu kompilieren, um das Aushandeln von Protokollen vor TLS v1.2 zu deaktivieren.
## Kompilieren von OpenSSL und Python
Um sicherzustellen, dass AWS ParallelCluster nicht für etwas vor TLS 1.2 verhandelt wird, müssen Sie OpenSSL und Python neu kompilieren. Kopieren Sie dazu den folgenden Inhalt, um ein Skript zu erstellen und auszuführen.
```
#!/usr/bin/env bash
set -e
OPENSSL_VERSION="1.1.1d"
OPENSSL_PREFIX="/opt/openssl-with-min-tls1_2"
PYTHON_VERSION="3.8.1"
PYTHON_PREFIX="/opt/python-with-min-tls1_2"
curl -O "https://www.openssl.org/source/openssl-$OPENSSL_VERSION.tar.gz"
tar -xzf "openssl-$OPENSSL_VERSION.tar.gz"
cd openssl-$OPENSSL_VERSION
./config --prefix=$OPENSSL_PREFIX no-ssl3 no-tls1 no-tls1_1 no-shared
make > /dev/null
sudo make install_sw > /dev/null
cd /tmp
curl -O "https://www.python.org/ftp/python/$PYTHON_VERSION/Python-$PYTHON_VERSION.tgz"
tar -xzf "Python-$PYTHON_VERSION.tgz"
cd Python-$PYTHON_VERSION
./configure --prefix=$PYTHON_PREFIX --with-openssl=$OPENSSL_PREFIX --disable-shared > /dev/null
make > /dev/null
sudo make install > /dev/null
```
Dadurch wird eine Version von Python kompiliert, die über ein statisch verknüpftes OpenSSL verfügt, das nicht automatisch eine frühere Version als TLS 1.2 aushandelt. Dadurch werden auch OpenSSL im `/opt/openssl-with-min-tls1_2`-Verzeichnis und Python im `/opt/python-with-min-tls1_2`-Verzeichnis installiert. Nachdem Sie dieses Skript ausgeführt haben, bestätigen Sie die Installation der neuen Version von Python.
```
$ /opt/python-with-min-tls1_2/bin/python3 --version
```
Dadurch sollte Folgendes ausgedruckt werden.
```
Python 3.8.1
```
Um zu bestätigen, dass diese neue Version von Python keine frühere Version als TLS 1.2 aushandelt, führen Sie die Schritte unter [Ermitteln Ihrer derzeit unterstützten Protokolle](#enforcing-tls-supported) mit der neu installierten Python-Version (also `/opt/python-with-min-tls1_2/bin/python3`) erneut aus.
# Konfiguration von Sicherheitsgruppen für eingeschränkte Umgebungen
AWS ParallelCluster Erstellt und konfiguriert standardmäßig Sicherheitsgruppen, die den gesamten Datenverkehr zwischen Clusterknoten zulassen. In stark eingeschränkten Umgebungen müssen Sie den Netzwerkzugriff möglicherweise nur auf die für den Clusterbetrieb erforderlichen Ports beschränken. In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Sicherheitsgruppen mit eingeschränktem Zugriff für Ihre AWS ParallelCluster Bereitstellung konfigurieren.
## Überblick über Sicherheitsgruppen
AWS ParallelCluster verwendet Sicherheitsgruppen, um den Netzwerkverkehr zwischen dem Hauptknoten, den Rechenknoten und den Anmeldeknoten (falls konfiguriert) zu steuern. Wenn ein Cluster AWS ParallelCluster erstellt wird, werden standardmäßig Sicherheitsgruppen erstellt, die den gesamten Verkehr zwischen Knoten innerhalb des Clusters zulassen. In Umgebungen mit strengen Sicherheitsanforderungen können Sie benutzerdefinierte Sicherheitsgruppen bereitstellen, die den Datenverkehr nur auf die erforderlichen Ports beschränken.
Sicherheitsgruppen können in den folgenden Abschnitten Ihrer Clusterkonfiguration konfiguriert werden:
+ [`HeadNode`/`Networking`](HeadNode-v3.md#HeadNode-v3-Networking)— Steuert den Zugriff zum und vom Hauptknoten
+ [`Scheduling`/`SlurmQueues`/`Networking`](Scheduling-v3.md#Scheduling-v3-SlurmQueues-Networking)- Steuert den Zugriff auf und von Rechenknoten
+ [`LoginNodes`](LoginNodes-v3.md)- Steuert den Zugriff auf und von Anmeldeknoten (falls konfiguriert)
Für jeden dieser Abschnitte können Sie Folgendes angeben:
+ `SecurityGroups`- Ersetzt die Standardsicherheitsgruppen, die erstellt AWS ParallelCluster würden
+ `AdditionalSecurityGroups`- Fügt zusätzlich zu den Standardgruppen, die von erstellt wurden, Sicherheitsgruppen hinzu AWS ParallelCluster
## Erforderliche Ports für den Clusterbetrieb
Bei der Konfiguration benutzerdefinierter Sicherheitsgruppen müssen Sie sicherstellen, dass die folgenden Ports zwischen den entsprechenden Knoten geöffnet sind:
**Erforderliche Ports für den Hauptknoten**
| Port | Protocol (Protokoll) | Richtung | Zweck |
| --- | --- | --- | --- |
| 22 | TCP | Eingehend | SSH-Zugriff auf den Hauptknoten (aus zulässigen IP-Bereichen) |
| 6817-6819 | TCP | Eingehend | Slurm-Controller-Ports (von Rechen- und Anmeldeknoten) |
| 6817-6819 | TCP | Ausgehend | Slurm-Controller-Ports (für Rechen- und Anmeldeknoten) |
| 8443 | TCP | Eingehend | NICE DCV (falls aktiviert, aus erlaubten IP-Bereichen) |
| 111, 2049 | TCP/UDP | Eingehend | NFS (von Rechen- und Anmeldeknoten, wenn NFS für gemeinsam genutzten Speicher verwendet wird) |
| 443 | TCP | Ausgehend | HTTPS-Zugriff auf AWS Dienste (wenn keine VPC-Endpunkte verwendet werden) |
**Erforderliche Ports für Rechenknoten**
| Port | Protocol (Protokoll) | Richtung | Zweck |
| --- | --- | --- | --- |
| 22 | TCP | Eingehend | SSH-Zugriff (vom Hauptknoten und vom Anmeldeknoten aus) |
| 6818 | TCP | Eingehend | Slurm-Daemon-Port (vom Hauptknoten aus) |
| 6817-6819 | TCP | Ausgehend | Slurm-Controller-Ports (zum Hauptknoten) |
| 111, 2049 | TCP/UDP | Ausgehend | NFS (zum Hauptknoten, wenn NFS für gemeinsam genutzten Speicher verwendet wird) |
| 443 | TCP | Ausgehend | HTTPS-Zugriff auf AWS Dienste (wenn keine VPC-Endpunkte verwendet werden) |
Wenn Sie EFA (Elastic Fabric Adapter) verwenden, müssen Sie auch den gesamten Datenverkehr zwischen Rechenknoten zulassen, auf denen EFA aktiviert ist:
+ Der gesamte TCP- und UDP-Verkehr zwischen Rechenknoten mit EFA
+ Der gesamte Verkehr auf dem EFA-Gerät zwischen Rechenknoten mit EFA
**Anmerkung**
Wenn Sie gemeinsam genutzte Speichersysteme wie FSx Lustre, Amazon EFS oder andere Speicherlösungen verwenden, müssen Sie sicherstellen, dass die entsprechenden Ports auch für diese Dienste geöffnet sind.
## Benutzerdefinierte Sicherheitsgruppen erstellen
Gehen Sie folgendermaßen vor, um benutzerdefinierte Sicherheitsgruppen für Ihre AWS ParallelCluster Bereitstellung zu erstellen:
1. Erstellen Sie Sicherheitsgruppen für den Hauptknoten, die Rechenknoten und die Anmeldeknoten (falls zutreffend) mithilfe der AWS Management Console, AWS CLI oder AWS CloudFormation.
1. Konfigurieren Sie die Sicherheitsgruppenregeln so, dass nur der erforderliche Datenverkehr zugelassen wird, wie im vorherigen Abschnitt beschrieben.
1. Verweisen Sie in Ihrer Cluster-Konfigurationsdatei auf diese Sicherheitsgruppen.
Hier ist ein Beispiel für die Erstellung von Sicherheitsgruppen mit der AWS CLI:
```
# Create security group for head node
aws ec2 create-security-group \
--group-name pcluster-head-node-sg \
--description "Security group for ParallelCluster head node" \
--vpc-id vpc-12345678
# Create security group for compute nodes
aws ec2 create-security-group \
--group-name pcluster-compute-node-sg \
--description "Security group for ParallelCluster compute nodes" \
--vpc-id vpc-12345678
# Add rules to allow necessary traffic between head and compute nodes
# (Add specific rules based on the required ports listed above)
```
## Konfiguration von Sicherheitsgruppen in der Clusterkonfiguration
Nachdem Sie Ihre benutzerdefinierten Sicherheitsgruppen erstellt haben, können Sie sie in Ihrer Cluster-Konfigurationsdatei referenzieren:
```
# Example cluster configuration with custom security groups
HeadNode:
...
Networking:
SubnetId: subnet-12345678
SecurityGroups:
- sg-headnode12345 # Custom security group for head node
# Or use AdditionalSecurityGroups if you want to keep the default security groups
# AdditionalSecurityGroups:
# - sg-additional12345
...
Scheduling:
Scheduler: slurm
SlurmQueues:
- Name: queue1
...
Networking:
SubnetIds:
- subnet-12345678
SecurityGroups:
- sg-computenode12345 # Custom security group for compute nodes
# Or use AdditionalSecurityGroups if you want to keep the default security groups
# AdditionalSecurityGroups:
# - sg-additional12345
...
# If using login nodes
LoginNodes:
Pools:
- Name: login-pool
...
Networking:
SubnetIds:
- subnet-12345678
SecurityGroups:
- sg-loginnode12345 # Custom security group for login nodes
# Or use AdditionalSecurityGroups if you want to keep the default security groups
# AdditionalSecurityGroups:
# - sg-additional12345
...
```
Bei der Verwendung `SecurityGroups` AWS ParallelCluster werden nur die von Ihnen angegebenen Sicherheitsgruppen verwendet und die Standardgruppen werden ersetzt. Bei der Verwendung `AdditionalSecurityGroups` AWS ParallelCluster werden sowohl die von ihm erstellten Standardsicherheitsgruppen als auch die von Ihnen angegebenen zusätzlichen Sicherheitsgruppen verwendet.
**Warnung**
Wenn Sie [Elastic Fabric Adapter (EFA)](Scheduling-v3.md#yaml-Scheduling-SlurmQueues-ComputeResources-Efa) für Ihre Compute-Instances aktivieren, stellen Sie sicher, dass Ihre EFA-fähigen Instances Mitglieder einer Sicherheitsgruppe sind, die den gesamten eingehenden und ausgehenden Traffic für sich selbst zulässt. Dies ist erforderlich, damit EFA ordnungsgemäß funktioniert.
## Verwendung von VPC-Endpunkten in eingeschränkten Umgebungen
In stark eingeschränkten Umgebungen möchten Sie möglicherweise die Bereitstellung AWS ParallelCluster in einem Subnetz ohne Internetzugang durchführen. In diesem Fall müssen Sie VPC-Endpunkte so konfigurieren, dass der Cluster mit AWS Diensten kommunizieren kann. Detaillierte Anweisungen finden Sie unter [AWS ParallelCluster in einem einzigen Subnetz ohne Internetzugang](aws-parallelcluster-in-a-single-public-subnet-no-internet-v3.md).
Stellen Sie bei der Verwendung von VPC-Endpunkten sicher, dass Ihre Sicherheitsgruppen den Datenverkehr zu und von den VPC-Endpunkten zulassen. Sie können dies tun, indem Sie die mit den VPC-Endpunkten verknüpften Sicherheitsgruppen zur `AdditionalSecurityGroups` Konfiguration für Ihren Hauptknoten und Ihre Rechenknoten hinzufügen.
```
HeadNode:
...
Networking:
SubnetId: subnet-1234567890abcdef0
AdditionalSecurityGroups:
- sg-abcdef01234567890 # Security group that enables communication with VPC endpoints
...
Scheduling:
Scheduler: slurm
SlurmQueues:
- ...
Networking:
SubnetIds:
- subnet-1234567890abcdef0
AdditionalSecurityGroups:
- sg-1abcdef01234567890 # Security group that enables communication with VPC endpoints
```
## Bewährte Methoden für die Konfiguration von Sicherheitsgruppen
Beachten Sie bei der Konfiguration von Sicherheitsgruppen für AWS ParallelCluster eingeschränkte Umgebungen die folgenden bewährten Methoden:
+ **Prinzip der geringsten Rechte**: Öffnen Sie nur die Ports, die für den Clusterbetrieb erforderlich sind.
+ **Verwenden Sie Sicherheitsgruppenreferenzen**: Verwenden Sie nach Möglichkeit Sicherheitsgruppenreferenzen (die den Verkehr von einer anderen Sicherheitsgruppe zulassen) anstelle von CIDR-Blöcken, um den Verkehr zwischen Clusterkomponenten einzuschränken.
+ **SSH-Zugriff einschränken**: Beschränken Sie den SSH-Zugriff auf den Hauptknoten mithilfe der Konfiguration [`HeadNode`//`Ssh`](HeadNode-v3.md#yaml-HeadNode-Ssh-AllowedIps)auf die IP-Bereiche, die ihn benötigen. `AllowedIps`
+ **DCV-Zugriff einschränken**: Wenn Sie NICE DCV verwenden, beschränken Sie den Zugriff mithilfe der Konfiguration [`HeadNode`/`Dcv`/`AllowedIps`](HeadNode-v3.md#yaml-HeadNode-Dcv-AllowedIps)auf nur die IP-Bereiche, die ihn benötigen.
+ **Gründlich testen**: Testen Sie nach der Konfiguration der benutzerdefinierten Sicherheitsgruppen alle Clusterfunktionen gründlich, um sicherzustellen, dass alle erforderlichen Kommunikationspfade funktionieren.
+ **Dokumentieren Sie Ihre Konfiguration**: Dokumentieren Sie Ihre Sicherheitsgruppenkonfiguration, einschließlich der offenen Ports und der Gründe, warum sie benötigt werden.
## Behebung von Problemen mit Sicherheitsgruppen
Wenn nach der Konfiguration benutzerdefinierter Sicherheitsgruppen Probleme auftreten, sollten Sie die folgenden Schritte zur Fehlerbehebung in Betracht ziehen:
+ **Clusterprotokolle überprüfen**: Überprüfen Sie die CloudWatch Clusterprotokolle in Logs auf Verbindungsfehler.
+ **Überprüfen Sie die Sicherheitsgruppenregeln**: Stellen Sie sicher, dass alle erforderlichen Ports zwischen den entsprechenden Knoten geöffnet sind.
+ **Konnektivität testen**: Verwenden Sie Tools wie `telnet` oder`nc`, um die Konnektivität zwischen Knoten an bestimmten Ports zu testen.
+ **Regeln vorübergehend erweitern**: Wenn Sie Probleme haben, herauszufinden, welche Ports benötigt werden, lassen Sie vorübergehend den gesamten Datenverkehr zwischen Clusterknoten zu und schränken Sie ihn dann schrittweise ein, sobald Sie die erforderlichen Ports identifiziert haben.
+ **Überprüfen Sie die VPC-Endpunktkonfiguration**: Wenn Sie VPC-Endpunkte verwenden, stellen Sie sicher, dass sie ordnungsgemäß konfiguriert sind und dass die Sicherheitsgruppen den Datenverkehr zu und von ihnen zulassen.
Wenn weiterhin Probleme auftreten, können Sie zur Verwendung der Standardsicherheitsgruppen zurückkehren, die erstellt wurden, AWS ParallelCluster indem Sie die `SecurityGroups` Konfiguration aus Ihrer Cluster-Konfigurationsdatei entfernen.